Электронная почта прочно вошла в нашу жизнь и для многих людей стала неотъемлемой частью их privacy — жизни личной. Проблема конфиденциальности переписки намного более актуальна, чем кажется. Надеюсь, что все наслышаны о системе "Эшелон". Это комплекс программно-аппаратных средств по слежению и анализу электронных писем на предмет содержания "угрожающих слов" (threating words): взрывчатка, шпионаж, конспирация, группировка и т.п. Я сам недавно столкнулся с очень странной проблемой в процессе переписки с человеком из такой благополучной страны, как Канада. Я задал ему пару щепетильных вопросов, и поздно вечером раздался телефонный звонок — этот человек раздраженно интересовался наличием содержимого в моей голове. Оказывается, в Канаде следят все и за всеми... Доступность письма для чужих глаз — первый случай нарушения пресловутой privacy. Остальные два случая — это отсутствие гарантии, что письмо отправил тот, чья подпись стоит под сообщением, и невозможность остаться полностью анонимным. Письмо от Билла Гейтса? Нередко возникает ситуация, когда необходимо удостовериться в том, что письмо получено именно от того, чью подпись можно лицезреть в сообщении. Например, вы получили письмо от Билла Гейтса, в котором он просит прекратить использовать нелицензионную копию Windows 98. И то, что в поле From черным по серому значится billgates@microsoft.com, еще ни о чем не говорит — некий шутник преспокойно мог написать в этом поле все, что угодно. Следует знать, что каждое электронное письмо содержит служебную информацию, которая находится в RFC-822 header — в заголовке письма. Эта часть письма "читается" почтовыми серверами и содержит информацию об ip-адресе отправителя, кому письмо предназначено, через какой сервер отправлено, кодировку, приоритет и многое-многое другое. Большая часть почтовых клиентов эту информацию не показывает, но ее можно всегда просмотреть при помощи любого текстового редактора или включив соответствующую опцию в почтовом клиенте. Например, в TheBat надо пройти в View \RFC-822 headers или же просто нажать Ctrl+Shift+K. Итак, опция включена — и вот что предстает нашему взору: Return-Path: <billgates@microsoft.com> Received: by hellfire.mail.lv (8.9.3/8.9.3) with ESMTP id TAA01552 for <Strike_1@mail.lv>; Wed, 8 Aug 2001 19:40:58 +0300 (EEST) Received: from billgates.microsoft.com ([217.148.192.76) by hellfire.mail.lv with esmtp (Exim 3.14 #1) id 15UQA2-0004qr-00 for Strike_1@mail.lv; Wed, 08 Aug 2001 14:02:30 +0400 Date: Wed, 8 Aug 2001 20:47:41 +1100 From: =?win-1251?B?4c7E0sXK?= <billgates@microsoft.com> X-Mailer: Outlook 5.0 Reply-To: =?win-1251?B?4c7E0sXK?= <billgates@microsoft.com> X-Priority: 3 (Normal) Message-ID: <13318394849.20010808204741@microsoft.com> To: Strike_1@mail.lv Subject: You bastard!!! Mime-Version: 1.0 Content-Type: text/plain; charset=win-1251 Content-Transfer-Encoding: 8bit Мда-а... многовато всего, не правда ли? Попытаемся разобраться... Итак: Return-Path — это адрес, на который будет (если будет) послан ответ. Поля Recieved — путь, по которому прошло письмо. Hellfire.mail.lv — адрес сервера-получателя. А вот следующее поле уже содержит информацию о самом отправителе: from billgates.microsoft.com. Здесь отражены имя машины и уникальный ip-адрес, с которого пришло письмо. Если имя домена-отправителя не имеет ничего общего с microsoft.com — стоит засомневаться в подлинности сообщения. Но эту строку тоже можно подделать! В Windows 95 для этого надо исправить поля Host и Domain, которые находятся в Control Panel\Network\TCP/IP Properties\DNS Configuration. Именно поэтому наибольшую важность представляет собой именно IP-адрес. Теперь следует определить соответствие имени цифровому адресу. Воспользуемся для этого программой CyberKit. (по устоявшейся традиции она покоится на нашем компакте). Набираем цифровой адрес и нажимаем NS Lookup. Если имя определилось и полученный результат не соответствует искомому — не что-то.microsoft.com, а нечто вроде dialup76.sakhalintelecom.ru или pp303.telecom.ru, — то это означает, что отправитель пользовался dial-up и услугами российского провайдера. Иногда адрес никак не желает определяться. В таком случае надо воспользоваться функцией TraceRoute из той же утилиты. TraceRoute прослеживает путь от вашего компьютера до указанного IP-адреса (он будет последним в списке узлов). Если опять IP не захочет определяться, то можно будет взглянуть на последний из определившихся узлов. Возможно, он покажет приблизительное географическое расположение искомого сервера. Пишите письма... Даже у вполне законопослушного гражданина может возникнуть ситуация, кода необходимо на 100 процентов остаться анонимным; скажем, высказывая мнение начальнику ФБР. Очевидно, что просто вписать vasya@pupkina.net в поле From явно недостаточно, а значит, придется прибегать к помощи римэйлера (remailer) или анонимайзера (anonymizer). Эти труднопроизносимые слова скрывают под собой названия полезных служб. Первая служба — римэйлеры. Это компьютер, переправляющий полученное сообщение по указанному адресу. При подобной переадресации все заголовки изменяются таким образом, что конечный получатель лишен возможности узнать автора письма. Надо заметить, что, как и в случае с прокси-серверами, спецслужбы, получив решение суда, могут заявиться лично к владельцу сервера и потребовать, чтобы тот открыл лог-файлы. Опять же по аналогии с прокси-серверами можно использовать цепочку римэйлеров. Если вы пользуетесь web-интерфейсом при отправке почты, то необходимо отключить использование cookies и пользоваться анонимным (т.е. скрывающим ваш ip) прокси-сервером. Но вернемся к нашим бар.. римэйлерам. Многие из подобных служб оставляют пометку в заголовке, что сообщение анонимно. Самая известная из подобных служб — replay.com. На момент написания статьи сервер был неработоспособен, но эта служба проверена временем. Надеюсь, что вскоре сервис станет доступным вновь (просто обязан это сделать). В Интернете много служб по отправке анонимных писем: чаще всего они выглядят как простые веб-мэйлеры, просто не требуют авторизации пользователей и не сохраняют никакой информации о вас (разумеется, при отключенных cookies). В качестве примера приведу www.geocities.com/Area51/2868/remail.html.Но для начала, особенно если найдете новую службу, отправьте сообщение себе, соблюдая все возможные меры предосторожности, и внимательно проанализируйте заголовок RFC-822. Если нет желания использовать (или нет доверия к www) веб-сервисы, можно воспользоваться программкой AnonyMail (http://zhenya2000.boom.ru/Anonymail.zip). Для отправки сообщения через эту программу надо заполнить в ней поля From, To и Subject (надеюсь, что здесь проблем не возникнет), а также не забыть про поле Host. Здесь надо указать адрес SMTP-сервера, через который будет отправлена почта. Вся хитрость в том, что в подавляющем большинстве случаев протокол SMTP (напомню, что это — протокол отправки почты) не требует авторизации пользователя. Из этого следует, что можно воспользоваться практически любым хостом; исключения составят сервера, администрируемые параноиками... Недостатки тоже есть. Самый главный — ip вашей машины по-прежнему "светится" в header сообщения. А в полученном сообщении поле To превратится в Apparently-To. All I wanna say... Эта статья, надеюсь, будет далеко не последней в цикле "антишпионских" материалов. Способы, перечисленные здесь, не являются панацеей — ее вообще не существует. Можно использовать PGP, но и этот алгоритм реверсируется (говоря проще, взламывается). Будьте осторожны на просторах Сети... Ковалев Андрей aka Dronе I-Worm.Sircam Впервые Интернет-червь Sircam был обнаружен 17 июля 2001 года. С этого момента буквально за несколько дней он заполонил весь мир. Не стал исключением и Рунет. Что же послужило причиной такого молниеносного распространения червя? Чем он отличается от своих аналогов? Постараемся разобраться... Распространение Распространяется вирус как все обычные Интернет-черви: вы получаете письмо с определенным текстом и вложенным файлом. Причем вложенный файл — разговор особый. Sircam является неким подобием червя-шпиона. Он ищет на зараженном компьютере папку “Мои Документы”, затем выбирает случайный doc-файл. И аттачит оный, но уже зараженный, в само письмо, после чего отсылает подобные письма всем, кто есть в адресной книге. Уже другой пользователь получает письмо с текстом: "Hi! How are you? I send you this file in order to have your advice" или "I hope you can help me with this file that I send", иногда вирус ругается и так: "I hope you like the file that I send you". И уж в совсем редкостных случаях: "This is the file with the information that you ask for See you later. Thanks". Попав на новый компьютер, вирус открывает вложенный файл, и происходит заражение. Процесс повторяется заново. Червь также способен заражать компьютеры в сети. Сначала он ищет все “общие” ресурсы, далее, если таковые найдены и доступны для записи, червь пишет свое тело в папку \[share]\recycled\. Файл будет называться SirCam32.exe. В файл же \\[share]\autexec.bat добавляется новая строка: "@win \recycled\SirC32.exe", т.е. в следующий раз после перезагрузки компьютера произойдет заражение. Вредные действия 1. Рассылка случайных doc-файлов всем, кто есть в адресной книге. Только представьте, какой урон понесли компании, чьи документы были отправлены неизвестно кому. 2. Шестнадцатого октября в одном случае из 20 либо же в любой день в году, но с шансом 1 к 50, червь сотрет все содержимое жесткого диска, на котором установлена Windows. 3. После "обычного" стирания тела червя пользователь сталкивается с невозможностью запуска exe-файлов. Удаление В связи с эпидемией червя заваленные сотнями писем пользователей с сообщением, что обнаружен вирус, а также тем, что после “лечения” ранними версиями антивирусов (тот же АВП) запуск exe-файлов на компьютере становился практически невозможным, антивирусные компании пошли на отчаянный шаг — выпустили специальные бесплатные программы-утилиты, удаляющие червя из системы. Но если вы любите все делать своими руками (да и программы далеко не всегда корректно работают), тогда прочитайте инструкцию по ручному удалению вируса чуть ниже. Вы увидите, что это совсем несложно. Зато теперь сможете похвастаться перед друзьями: “Я вирус вручную без всяких антивирусов вылечил...” Итак, приступим. 1. Если компьютер находится в сети, перекройте доступ ко всем “общим” ресурсам данного компьютера, дабы избежать нового заражения. 2. Запускаем программу RegEdit (Пуск\Выполнить\Regedit). Далее: — удаляем ключ HKLM\Software\SirCam; — удаляем программу Driver32 из HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices; — изменяем значение HKCR\exefile\shell\open\command на "%1" %*. Все. На этом самая “страшная” часть закончена. Осталось совсем чуть-чуть. 3. Открываем файл autoexec.bat тем же "Блокнотом" и удаляем строчку ‘@win \recycled\sirc32.exe’. 4. Заходим в директорию Windows и переименовываем файл run32.exe в rundll32.exe. 5. После перезагрузки ищем и удаляем зараженные exe-файлы: SCam32.exe, SirC32.exe, ScMx32.exe, Microsoft Internet Office.exe и sircam.sys. Компьютер чист И напоследок небольшой совет: если вы все же, следуя совету антивируса, удалили все “червивые” файлы и компьютер перестал запускать exe-шники (даже regedit), то временно переименуйте нужный exe-шник (regedit.exe) в com-файл (regedit.com). Должно работать. Затем отредактируйте нужные ветки в реестре и переименуйте файл обратно. И запомните: НЕ запускайте файлы из подозрительных писем!
Vova
